Internet Explorer 11, scoperto grave bug XSS

Un grave vulnerabilità presente in Internet Explorer 11 su Windows 7 e Windows 8.1 potrebbe essere sfruttata per eseguire attacchi XSS (Cross-site scripting) e quindi consentire ad un malintenzionato di rubare le credenziali di login o iniettare codice infetto nel browser dell’utente. Microsoft ha promesso di rilasciare un fix al più presto.

Il bug XSS permette di aggirare la policy “same origin“, un’importante regola che impedisce agli script di un sito web di accedere o modificare i cookie e i contenuti impostati da altri siti. Per mostrare l’esistenza della vulnerabilità è sufficiente aprire la pagina che include il proof-of-concept con Internet Explorer 11. La demo è innocua, in quanto inietta solo la scritta “Hacked by Deusen” nel sito Daily Mail, ma il bug può essere sfruttato per rubare qualsiasi dato memorizzato da un sito sul computer dell’utente.

Un malintenzionato potrebbe quindi leggere i cookie del browser usati da molti siti per consentire l’accesso agli utenti che hanno digitato username e password. Ciò significa che i dati personali, tra cui quelli della carta di credito, potrebbero finire nelle mani sbagliate.

Microsoft ha dichiarato che rilascerà una patch, specificando che la vulnerabilità può essere sfruttata solo se l’utente viene convinto a visitare un sito infetto, ad esempio tramite phishing. SmartScreen, attivato di default sulle ultime versioni di Internet Explorer, dovrebbe garantire una buona protezione, ma non la sicurezza assoluta. È consigliabile quindi non cliccare su link sospetti ed effettuare il log out dai siti.